-
1. Technisches Gebiet:
-
Die vorliegende Erfindung bezieht
sich auf Datenzugriffskontrolle in Netzen aus Datenverarbeitungssystemen
allgemein und im Besonderen auf inhaltsspezifische Zugriffskontrolle.
Noch spezieller bezieht sich die vorliegende Erfindung auf die Erweiterung
vorhandener inhaltsspezifischer Zugriffskontrollmechanismen für Internetseiten
auf andere Kommunikationsprotokolle.
-
2. Beschreibung der zugrunde
liegenden Technik:
-
Konventionelle Datenzugriffskontrolle
basiert darauf, dass der Zugriff auf bestimmte Server, Speichermedien
(z. B. Festplattenlaufwerke), Verzeichnisse oder Dateien unabhängig von
deren Inhalt beschränkt
wird. Das heißt,
der Zugriff auf Inhalte wird kontrolliert, indem der Zugriff auf
den Ort der Inhalte beschränkt
wird, indem etwa verhindert wird, dass ein Benutzer auf eine Datei
(oder einen Datenstrom) zugreift (durch Herunterladen und Betrachten
oder Ausführen),
die den Inhalt enthält,
statt dass die Zugriffskontrolle auf dem Inhalt selbst basiert.
Diese Art von Zugriffskontrolle erfordert im Allgemeinen das Setzen
von Dateiattributen im Rahmen des Dateisystems oder eine Zugangskontrollliste.
Solche Zugangskontrolltechniken eignen sich jedoch kaum für die heutige
Veröffentlichung
von Inhalten in großem
Umfang im Internet, bei der Dateinamen (oder Quellen von Datenströmen) oft
gemeinsam mit dem Inhalt elektronisch erzeugt werden, und wobei
der Inhalt häufig
aktualisiert wird, sodass es äußerst aufwändig ist,
Dateinamen zusammen mit dem Inhalt nachzuverfolgen, der zugriffsbeschränkt sein
soll. Es ist auch unmöglich
für einen
Einzelnen, der den Inhalt bestimmter Dateien nicht kennt, zu entscheiden,
ob solche Dateien zugriffsbeschränkt
sein sollten.
-
Derzeit existiert für Hypertext-Übertragungsprotokollbasierte
(HTTP-basierte) Systeme die Möglichkeit,
dass Browser die Wiedergabe von Internetseiteninhalten regulieren,
kontrollieren und beschränken
können
gemäß Klassifikationen,
die in den Inhaltskennzeichen enthalten sind, welche in Internetseiten
eingebettet sind. Die Inhaltskennzeichen innerhalb eines Hypertext-Markup-Language-Dokuments
(HTML-Dokuments) z. B. sind innerhalb eines Meta-Tags für das Dokument
enthalten:
-
"PICS-1.1" verweist auf eine
Version des Inhaltskennzeichnungs/-Einstufungsprotokolls, das von
der "Platform for
Internet Content Selection",
einer Arbeitsgruppe unter dem World Wide Web Consortium (W3C), eingeführt wurde.
Das Protokoll wird detaillierter unter www.w3.org/PICS beschrieben.
Unter diesem System werden Inhaltskennzeichnungen verwendet, die
entweder durch den Veröffentlicher
des Inhalts selbst vergeben werden oder durch einen Einstufungsdienst
wie etwa die Internet Content Rating Association (www.irca.org).
-
Inhaltskennzeichnungen für HTML-Dokumente
können
innerhalb des HTML-Dokuments übertragen werden,
mit dem HTML-Dokument in einem HTTP-Kopf (oder einem anderem Protokollkopf
im Stil von RFC-822) oder getrennt vom HTML-Dokument von einer "Kennzeichnungsstelle" bezogen werden,
die typischerweise nur ein Standard-HTTP-Server ist, auf dem ein
besonderes Skript läuft,
das dem Common-Gateway-Interface-Standard (CGI-Standard) folgt. Die von einer Kennzeichnungsstelle
stammenden Kennzeichen können
sich auf jedes Dokument beziehen, zu dem ein Uniform Resource Locator
(URL) gehört,
einschließlich jener,
die über
andere Protokolle als HTTP, wie etwa das File Transfer Protocol
(FTP), Gopher oder NetNews, verfügbar
sind (vgl. RFC 1738).
-
HTTP-Inhaltskennzeichnungen werden
am häufigsten
in Filtersystemen eingesetzt wie etwa jenen, die in Browsern integriert
sind und verhindern sollen, dass Kinder versehentlich auf explizite
Sexual- oder Gewaltdarstellungen zugreifen. Der Zugriff auf bestimmte
Arten von Inhalten, die durch Inhaltskennzeichen bezeichnet werden,
kann eingeschränkt
sein. Privilegierte Benutzer eines Systems vergeben Kennwörter für bestimmte
Kategorien von Inhaltskennzeichen, und nicht privilegierte Benutzer
müssen
das korrekte Kennwort eingeben, um eine Internetseite zu betrachten,
die Inhalte enthält,
die unter eine zugriffsbeschränkte
Kategorie fallen.
-
Inhaltsabhängiges Filtern ist allgemein
nur innerhalb der HTTP-Einheit eines Browsers aktiv. Ein solches
Verfahren und System zum Filtern ist in
US 5,987,606 offenbart. Es erlaubt eine
endbenutzeranpassbare Zugangskontrollfilterung mit reichhaltigen
Einstellungsmöglichkeiten
für client
Geräte,
die mit einem dedizierten Server eines Internet Service Providers
(ISP) über
irgendein Protokoll kommunizieren. Der Server kommuniziert dabei
mit dem Browserprogramm des client. Dieses Verfahren hat den Nachteil,
dass die Kontrolle nur sehr begrenzt möglich ist, denn sie wird im
wesentlichen auf dem Server ausgeübt und kann durch Benutzen anderer
Kommunikationswege anstelle des ISP Servers oder durch Benutzen
andererer Kommunikationsprogramme als den bestimmten Browser des
Endbenutzers, beispielsweise durch Dateianhang an eine e-mail umgangen
werden, wenn die angehängte
Datei selbst verbotenen Inhalt besitzt:
Wo in einem System
nur der Browser inhaltsbasiertes Filtern verwendet, ist es für Benutzer
möglich,
die Absicht der Inhaltsbeschränkungen
zu umgehen, sobald sie auf nicht-HTTP-Daten zugreifen, die keine Inhaltskennzeichen
enthalten, oder indem sie nicht-HTTP-Protokolle benutzen, die keine
Inhaltsbeschränkung
unterstützen.
Beispielsweise kann ein Benutzer binäre Bilddaten herunterladen,
die sexuell explizite Inhalte enthalten, indem er die FTP-Einheit
eines Browsers benutzt, die keine inhaltsbasierte Zugangskontrolle
für nicht-HTTP-Protokolle zur
Verfügung
stellt, oder er kann ähnliche
Inhalte als Anhang an eine elektronische Mail-Nachricht erhalten.
Außerdem
kann ein nicht privilegierter Benutzer einfach den Netzwerk-Newsreader benutzen,
der üblicherweise
zum Lieferumfang von Browsern gehört. Selbst wenn der Newsreader
inhaltskennzeichenbasierte Zugangskontrolle unterstützt, ist
der privilegierte Benutzer (z. B. ein Elternteil) möglicherweise
mit dem Internet nicht ausreichend vertraut, um zu verstehen, dass
Newsgroups ebenfalls sexuell explizites oder anderes unerwünschtes
Material enthalten können.
Diese einfachen Umwege können
bestehende Methoden zur Inhaltskontrolle im Browser außer Kraft
setzen.
-
Daher wäre es wünschenswert, dass privilegierte
Benutzer über
die Zuweisung von Kennwörtern
in die Lage versetzt würden,
weitergehend die Möglichkeit
von nicht privilegierten Benutzern zum Zugriff, Importieren und
Exportieren von Daten außerhalb
des Systems oder von Daten innerhalb des Systems zu regulieren,
kontrollieren und einzuschränken.
-
Es ist daher ein Ziel der vorliegenden
Erfindung, eine verbesserte Datenzugriffskontrolle in Netzen aus Datenverarbeitungssystemen
zur Verfügung
zu stellen.
-
Es ist ein weiteres Ziel der vorliegenden
Erfindung, eine verbesserte inhaltsbezogene Datenzugriffskontrolle
in Netzen aus Datenverarbeitungssystemen zur Verfügung zu
stellen.
-
Es ist ein weiteres Ziel der vorliegenden
Erfindung, eine verbesserte inhaltsbezogene Datenzugriffskontrolle
in Netzen aus Datenverarbeitungssystemen zur Verfügung zu
stellen.
-
Es ist noch ein weiteres Ziel der
vorliegenden Erfindung, bestehende Mechanismen einer inhaltsbezogenen
Datenzugriffskontrolle für
Internetseiten auf andere Kommunikationsprotokolle zu erweitern.
-
Im Folgenden wird nun beschrieben,
wie die genannten Ziele erreicht werden. Kategorien von Inhaltskennzeichen
und zugehörige
Einschränkungen
der Benutzerrechte für
die erwünschte
Zugriffskontrolle können
von einem privilegierten Benutzer in beliebigen Kommunikationsprogrammen
(wie etwa einem Browser) innerhalb eines Systems eingegeben werden,
und werden automatisch an alle anderen Kommunikationsprogramme (wie
etwa ein anderer Browser oder ein Newsreader) innerhalb des Systems
weitergegeben, unabhängig
davon, ob diese das gleiche Kommunikationsprotokoll nutzen. Kommunikationsprogramme überprüfen bei
der Installation die innerhalb anderer Kommunikationsprogramme vorliegenden
Zugriffskontrolleinstellungen und benutzen solche Einstellungen
zur Konfiguration ihrer internen Zugriffskontrolle. Inhaltsbezogene
Zugriffskontrolle wird somit im ganzen System einheitlich implementiert,
ohne dass sie von den nicht privilegierten Benutzern umgangen werden
kann. Inhaltskennzeichen für
angeforderten Inhalt, die in den angeforderten Inhalt eingebettet
sein können,
die in einem Kommunikationskopf für Übertragungen des angeforderten
Inhalts enthalten sein können
oder die in internen oder externen Datenbanken nachgeschlagen werden
können,
wobei ein Bezeichner für
den angeforderten Inhalt benutzt wird, werden mit den Kategorien
von Inhaltskennzeichen verglichen, die für einen gegenwärtigen Benutzer
zugriffsbeschränkt
sind. Wenn zugriffsbeschränkter
Inhalt erkannt wird, wird der Benutzer zur Eingabe eines Kennworts
aufgefordert, bevor der angeforderte Inhalt angezeigt wird.
-
Die obigen sowie zusätzliche
Zielsetzungen, Einzelheiten und Vorteile der vorliegenden Erfindung werden
in der folgenden schriftlichen Detailbeschreibung deutlich werden.
-
Die neuartigen Merkmale, die als
auszeichnend für
die Erfindung gehalten werden, werden in den beiliegenden Ansprüchen dargelegt.
Die Erfindung selbst wie auch eine bevorzugte Art ihres Gebrauchs,
weitere Ziele und ihre Vorteile werden am besten unter. Bezugnahme
auf die folgende Detailbeschreibung verstanden, sofern in Verbindung
mit den begleitenden Zeichnungen gelesen, wobei:
-
1 ein
Netz aus Datenverarbeitungssystemen, in dem eine bevorzugte Ausführungsart
der vorliegenden Erfindung implementiert werden kann, darstellt;
-
2 ein
Flussdiagramm auf hohem Abstraktionsniveau für einen Vorgang der Einstellung
einer inhaltskennzeichenbasierten Zugriffskontrolle in Übereinstimmung
mit einer bevorzugten Ausführungsart
der vorliegenden Erfindung ist; und
-
3 ein
Flussdiagramm auf hohem Abstraktionsniveau für einen Vorgang der Durchführung von
Zugriffskontrolle in Übereinstimmung
mit einer bevorzugten Ausführungsart
der vorliegenden Erfindung darstellt.
-
DETAILLIERTE
BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSART
-
Nun ist unter Bezugnahme auf die
Figuren und insbesondere unter Bezugnahme auf 1 ein Netz aus Datenverarbeitungssystemen
abgebildet, in welchem eine bevorzugte Ausführungsart der vorliegenden Erfindung
implementiert werden kann. Das aus Datenverarbeitungssystemen bestehende
Netz 102 umfasst einen oder mehrere Server 104–106,
auf die als Teil des Internets 108 oder eines anderen Netzes
zugegriffen werden kann. Das aus Datenverarbeitungssystemen bestehende
Netz 102 umfasst auch einen oder mehrere Clients 110–112,
welche auf Inhalte zugreifen oder Inhalte empfangen können, die
sich auf den Servern 104–106 befinden. Die
Inhalte können
unter Benutzung unterschiedlicher Protokolle übertragen werden, zu denen
das Hypertext Transfer Protocol (HTTP), das File Transfer Protocol
(FTP), ein Protokoll für
elektronische Post wie IMAP oder POP oder ein lokales Dateisystem
gehören.
-
In Übereinstimmung mit der vorliegenden
Erfindung enthält
ein Client innerhalb des Netzes aus Datenverarbeitungssystemen 102 wie
etwa Client 112 Funktionen, die verschiedene Kommunikationsprotokolle zur Übertragung
von Inhalten unterstützt,
zu denen ein Browser 114 (für die HTTP-Kommunikation),
ein Newsreader 116 (für
die Kommunikation über
das Network News Transfer Protocol oder NNTP), ein E-Mail-Programm 118 (für die Kommunikation über IMAP
oder POP) und ein Dateimanager 120 (für das lokale Speichern und
Abrufen von Dateien) gehören.
Obwohl diese in der beispielhaften Ausführungsart als getrennte Funktionseinheiten
dargestellt sind, kann die Funktionalität vollständig oder teilweise integriert
sein. Beispielsweise beinhaltet der Netscape Navigator, erhältlich von
AOL, Inc., die Funktionalität
eines Browsers, eines Newsreaders und eines E-Mail-Programms. In ähnlicher
Weise ist der Internet Explorer, erhältlich von der Microsoft Corporation,
eng mit dem Windows Explorer, dem Dateimanager für die Betriebssysteme Windows
95, Windows 98 und Windows 2000, verknüpft und enthält auch
Unterstützung
für die
Funktionalität
eines E-Mail-Programms, obwohl die Funktionalität eines Newsreaders in einem
anderen Programm, Outlook Express, enthalten ist. Darüber hinaus
können
andere Kommunikationsprotokolle wie Gopher oder WAIS innerhalb von
Client 112 unterstützt
werden.
-
Ebenfalls innerhalb von Client 112 in
der beispielhaften Ausführungsart
enthalten ist ein Zugriffskontrollmodul 122, eine Browser-basierte
Einrichtung ähnlicher
Art wie jene, die zu bestehenden Browsern gehören, die es einem privilegierten
Benutzer erlaubt, den Zugang zu Kategorien von Inhaltskennzeichen
gemäß Kennwörtern zu
regeln, die vom privilegierten Benutzer vergeben werden. In der
vorliegenden Erfindung jedoch stellt das Zugriffskontrollmodul 122 eine
einzige Schnittstelle für
die Herstellung der Regulierung aller Kommunikationsprotokolle,
die innerhalb von Client 112 unterstützt werden, nicht ausschließlich für den Browser
oder den HTTP-Client, zur Verfügung.
Alle Kommunikationsprotokolle, die innerhalb von Client 112 unterstützt werden
(z. B. HTTP, FTP, NNTP, eines oder mehrere Protokolle für Sofortnachrichten
[instant messaging], MP3 oder andere Medien- und/oder Datenstromwiedergabeprogramme
sowie das Dateisystem des Betriebssystems in der beispielhaften
Ausführungsart),
erlauben inhaltskennzeichenbasierte Zugriffskontrolle. Das Zugriffskontrollmodul 122 stellt
eine einzige Schnittstelle zu allen innerhalb des Systems unterstützten Kommunikationsprotokollen
zur Verfügung,
sodass es einem privilegierten Benutzer erlaubt, inhaltskennzeichenbasierte
Zugriffsbeschränkungen
für alle
Kommunikationsprotokolle festzulegen, die innerhalb des Systems
unterstützt
werden. Das Zugriffskontrollmodul 122 muss nicht Browser-basiert
sein, wie es im Rahmen der beispielhaften Ausführungsart implementiert ist.
Statt dessen könnten
der Mechanismus der Zugriffskontrolle und die zugehörige Benutzerschnittstelle
zum Festlegen der Zugriffsbeschränkungen
integraler Bestandteil des Betriebssystems oder Teil eines getrennten Anwendungsprogramms
sein.
-
Um die inhaltsbasierte Zugriffskontrolle
zu erleichtern, enthält
Client 112 auch Benutzernamen und Kennwörter 124 sowie eine "Kennzeichnungsstelle" 126a. Die
Kennzeichnungsstelle 126a stellt Inhaltskennzeichen für lokal
gespeicherte, über
Dateinamen repräsentierte
Inhalte bereit, und kann Teil des Dateisystems des Betriebssystems
sein, eine einfache Tabelle, die unabhängig vom Dateisystem gepflegt
wird, oder eine andere Implementierung. Eine oder mehrere ähnliche
Kennzeichnungsstellen 126b befinden sich auf Inhalte enthaltenden
Servern, auf die Client 112 zugreifen kann, und stellen
Inhaltskennzeichen für
Inhalte bereit, auf die Client 112 durch das Internet 108 zugreift
und die über
einen Uniform Resource Locator (URL) repräsentiert sind.
-
Inhaltskennzeichen für Inhalte,
auf die Client 112 zugreift, können auf jede beliebige einer
Reihe verschiedener Arten ermittelt werden. Inhaltskennzeichen werden
vorzugsweise innerhalb von oder zusammen mit Inhalten als Metadaten
abgelegt. Für
HTML-Inhalte kann die bestehende Inhaltskennzeichnung angewendet
werden. Für
andere Arten von Inhalten wie binäre Bilddaten kann die Inhaltskennzeichnung
innerhalb von Kommentar- oder Kopfabschnitten der die Inhalte enthaltenden
Dateien implementiert werden. Alternativ können Inhaltskennzeichen außerhalb
der Dateien gepflegt werden, welche die Inhalte enthalten, entweder
als ein Dateiattribut, Metadaten für die Datei, oder einfach innerhalb
einer eigenen Datei für
Inhaltskennzeichen oder als Attribut des Kommunikationsprogramms.
Die Inhaltskennzeichen können
dann innerhalb eines Kopfes für einen
Kommunikationsvorgang übertragen
werden, der zum Übertragen
der Inhalte benutzt wird. Schließlich können Inhaltskennzeichen vollständig getrennt
von den Inhalten zusammen mit einem zugehörigen Bezeichner für die Inhalte abgelegt
sein, etwa bei Kennzeichnungsstellen, und in einem von den Inhalten
getrennten Kommunikationsvorgang heruntergeladen werden.
-
Nun wird unter Bezugnahme auf 2 ein Flussdiagramm auf
hohem Abstraktionsniveau für
einen Prozess der Einstellung einer inhaltskennzeichenbasierten
Zugriffskontrolle in Übereinstimmung
mit einer bevorzugten Ausführungsart
der vorliegenden Erfindung veranschaulicht. Der Prozess beginnt
bei Schritt 202, welcher eine Änderung
der Zugriffskontrolle darstellt, die von einem privilegierten Benutzer
begonnen wird. Zu diesem Zeitpunkt kann optional eine Überprüfung der
Identität
des privilegierten Benutzers stattfinden (z. B. durch eine Aufforderung
zur Eingabe eines Kennworts und dessen Überprüfung oder einfach durch Ermitteln des
gegenwärtigen
Benutzers). Der Prozess schreitet zunächst mit Schritt 204 fort,
der das Ermitteln derjenigen Kategorien von Inhaltskennzeichen und
der zugehörigen
Beschränkungen
veranschaulicht, welche die für verschiedene
nicht privilegierte Benutzer erwünschte
Zugriffskontrolle festlegen. Dies kann durchgeführt werden, indem die gleichen
Benutzerdialoge benutzt werden, die gegenwärtig von Browsern für das Festlegen
von inhaltskennzeichenbasierten Beschränkungen verwendet werden (z.
B. durch das Anklicken von "Extras", "Internet-Optionen", "Inhalt" beim Internet Explorer
5.0).
-
Sobald die Kategorien von Inhaltskennzeichen
und die zugehörigen
Benutzerbeschränkungen
für die erwünschte Zugriffskontrolle
ermittelt sind, schreitet der Prozess mit Schritt 206 fort, welcher
das Verteilen der Kategorien von Inhaltskennzeichen und der Beschränkungen
an alle Softwaremodule darstellt, die innerhalb des Systems ein
Kommunikationsprotokoll unterstützen,
einschließlich
FTP, NNTP, Sofortnachrichten, SNMP und anderer Kommunikationsprotokolle.
Jede Kommunikationseinheit innerhalb des Systems ist angepasst, sodass
sie Zugriffskontrollbeschreibungen in Form von Kategorien von Inhaltskennzeichen
und zugehörigen Benutzereinschränkungen
empfangen kann und die geeignete Zugriffskontrolle implementiert.
Dadurch, dass die Kategorien von Inhaltskennzeichen und die Beschränkungen
ein einziges Mal ermittelt und an alle Kommunikationsprogramme innerhalb
des Systems verteilt werden, kann eine gleichförmige Implementierung von Zugriffskontrollen
ohne einfache Umgehungsmöglichkeiten,
wie sie in den gegenwärtigen
Systemen bestehen; gewährleistet
werden.
-
Alternativ könnten inhaltsbasierte Beschränkungen über eine
zentrale Quelle im Betriebssystem implementiert werden, die von
jeder Kommunikationsprotokolleinheit mit einem Satz von Parametern
aufgerufen wird, um eine Zugriffserlaubnis der Form WEITER/HALT
zu erhalten. Somit würde
eine Anwendungsprogrammierschnittstelle (API) zu einer "Zugriffsprüfung" zur Verfügung gestellt,
die jedes ausführbare
Programm benutzen könnte.
-
Überdies
werden die Kategorien von Inhaltskennzeichen und die zugehörigen Benutzerbeschränkungen
an alle Kommunikationsprogramme verteilt, gleich welche Kommunikationsprotokolle
sie benutzen oder wann sie installiert werden. Somit kann z. B.
die Situation vermieden werden, dass Eltern Zugriffsbeschränkungen
für ein
Kind für
einen innerhalb des Systems installierten Internet-Explorer-Browser festlegen,
das Kind aber daraufhin einen Netscape-Navigator-Browser herunterlädt und auf
dem System installiert, um die Beschränkungen zu umgehen. Kommunikationsprogramme,
die auf dem System installiert werden, überprüfen, welche bestehenden Zugriffskontrollbeschränkungen
für andere
Kommunikationsprogramme festgelegt sind. Der Prozess schreitet dann
fort zu Schritt 208, der veranschaulicht, dass der Prozess ruht,
bis eine weitere Veränderung
der Zugriffskontrolle begonnen wird.
-
Unter Bezugnahme auf 3 wird nun ein Flussdiagramm auf hohem
Abstraktionsniveau für
einen Prozess der Durchführung
der Zugriffskontrolle in Übereinstimmung
mit einer bevorzugten Ausführungsart
der vorliegenden Erfindung abgebildet. Der Prozess beginnt bei Schritt
302, der abbildet, dass gerade Inhalte innerhalb eines Systems abgerufen
werden, wobei jedes vom System unterstützte Kommunikationsprotokoll
benutzt werden kann, nicht nur ein Browser, der das HTTP-Protokoll
verwendet. Der Prozess schreitet dann mit Schritt 304 fort, der
veranschaulicht, dass Inhaltskennzeichen für die abgerufenen Inhalte ermittelt
werden. Wie oben bemerkt, können
die Inhaltskennzeichen in den Inhalt selbst eingebettet sein, in
einem an der Übertragung
des abgerufenen Inhalts beteiligten Kommunikationskopf für einen
Client-Server- oder ähnlichen
Vorgang enthalten sein oder in einer internen oder externen Datenbank
nachgeschlagen werden, die Inhaltskennzeichen für eindeutig bezeichnete Inhalte
einschließlich
des abgerufenen Inhalts enthalten.
-
Der Prozess schreitet als Nächstes mit
Schritt 306 fort, der das auf für
einen gegenwärtigen
Benutzer geltenden Kategorien von Inhaltskennzeichen basierte Bestimmen
der Zugriffsbeschränkungen
abbildet. Dies kann optional die Aufforderung zur Eingabe eines
Kennworts durch den Benutzer beinhalten, um die Identität des Benutzers
zu überprüfen oder
um zu bestimmen, wann der Benutzer sich an das System anmeldet,
oder es kann einfach darin bestehen, dass der gegenwärtige Benutzer
ermittelt wird und die zu diesem Benutzer gehörenden Zugriffsbeschränkungen
nachgeschlagen werden. Der Prozess schreitet dann mit Schritt 308
fort, der veranschaulicht, dass bestimmt wird, ob der Zugriff auf
diejenigen Kategorien von Inhaltskennzeichen, welchen die Inhaltskennzeichen
für den
angeforderten Inhalt angehören,
dem gegenwärtigen
Benutzer verweigert wird. Ist dies der Fall, schreitet der Prozess
mit Schritt 310 fort, der das Anzeigen einer Nachricht abbildet,
die den Benutzer über
die Einschränkung
für den
Inhalt informiert. Ist dies jedoch nicht der Fall, schreitet der
Prozess statt dessen mit Schritt 312 fort, der das Herunterladen
und Anzeigen des angeforderten Inhalts veranschaulicht. Das Anzeigen
des angeforderten Inhalts kann das Abspielen auditiver oder visueller
Information beinhalten. von jedem der Schritte 310 oder 312 schreitet
der Prozess dann mit Schritt 314 fort, der abbildet, dass der Prozess
ruht, bis über
ein beliebiges innerhalb des Systems unterstütztes Kommunikationsprotokoll wieder
Inhalt angefordert wird.
-
Die vorliegende Erfindung erlaubt
das einfache Implementieren und gleichförmige Bewirken von inhaltsbasierter
Zugriffskontrolle über
alle von einem System unterstützten
Kommunikationsprotokolle hinweg. Änderungen an inhaltsbasierten
Zugriffsbeschränkungen
müssen
von einem privilegierten Benutzer nur einmal eingegeben werden,
und werden zur Implementierung an alle Kommunikationsprogramme innerhalb
des Systems verteilt. Somit werden für die Eltern, die die Zugriffsbeschränkungen
für ihr
Kind in einem Browser (z. B. dem Internet Explorer) einstellen,
die gleichen Zugriffskontrollbeschränkungen automatisch für einen
Newsreader (z. B. Outlook Express) selbst dann eingestellt, wenn
den Eltern das Vorhandensein des Newsreaders unbekannt ist. Später installierte
Kommunikationsprogramme überprüfen während der
Installation, ob Zugriffsbeschränkungen
vorliegen, indem sie z. B. andere Kommunikationsprogramme überprüfen, die
bereits auf dem System installiert sind.
-
Die vorliegende Erfindung erlaubt
die Beschränkung
des Zugriffs auf Inhalte, welcher das Ausführen von Programmen ebenso
einschließt
wie Herunterladen und Betrachten. Die Kontrolle kann für alle Formen von
Daten zur Verfügung
gestellt werden, handle es sich um Dateien, Datenströme oder
Antworten auf Echtzeitanfragen. Inhaltskennzeichenbasierte Zugriffskontrolle
kann in Übereinstimmung
mit der vorliegenden Erfindung durch Chipkarten, Kreditkarten, Ausweise
usw. verwendet werden, wobei die Inhaltskennzeichenbeschränkungen
dann für
den Benutzer der entsprechenden Vorrichtung gelten.
-
Es sei darauf hingewiesen, dass,
obwohl die vorliegende Erfindung im Kontext eines voll funktionsfähigen Datenverarbeitungssystems
und/oder -netzes beschrieben worden ist, Fachleute nachvollziehen
können,
dass der Mechanismus der vorliegenden Erfindung in Form eines maschinenlesbaren
anweisungstragenden Mediums in unterschiedlichen Formen vertrieben
werden kann, und dass die vorliegende Erfindung sich gleichermaßen darauf
bezieht, unabhängig
von der besonderen Art des informationstragenden Mediums, das zur
tatsächlichen
Durchführung
des Vertriebs benutzt wird. Zu Beispielen maschinenlesbarer Medien
gehören: nicht
flüchtige,
fest codierte Medien wie Nur-Lese-Speicher (ROMs) oder löschbare,
elektrisch programmierbare Nur-Lese-Speicher (EEPROMs), beschreibbare
Medien wie Disketten, Festplattenlaufwerke und CD-ROMs und Übertragungsmedien
wie digitale und analoge Kommunikationsverbindungen.
-
Obwohl die Erfindung insbesondere
unter Bezugnahme auf eine bevorzugte Ausführungsart gezeigt und beschrieben
worden ist, werden Fachleute verstehen, dass vielfältige Änderungen
in Form und Detail daran vorgenommen werden können, ohne vom Sinn und Geltungsbereich
der Erfindung abzuweichen.